前言
本文主要讲解的知识点有以下:
- 权限管理的基础知识
- 模型
- 粗粒度和细粒度的概念
- 回顾URL拦截的实现
- Shiro的介绍与简单入门
一、Shiro基础知识
在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理
1.1什么是权限管理?
只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
对权限的管理又分为两大类别:
- 用户认证
- 用户授权
1.1.1用户认证
用户认证,用户去访问系统,系统要验证用户身份的合法性
最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户方可访问系统的资源。
举个例子:
- 当我们输入了自己的淘宝的账户和密码,才能打开购物车
用户认证的流程:
- 判断该资源能否不认证就能访问【登陆页面、首页】
- 如果该资源需要认证后才能访问,那么判断该访问者是否认证了
- 如果还没有认证,那么需要返回到【登陆页面】进行认证
- 认证通过后才能访问资源
这里写图片描述
从用户认证我们可以抽取出这么几个概念
- subject主体:理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证
- principal身份信息:通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)【我们可以选择身份证认证、学生证认证等等都是我们的身份信息】
- credential凭证信息:可以是密码 、证书、指纹。
总结:主体在进行身份认证时需要提供身份信息和凭证信息。
1.1.2用户授权
用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。
用户授权的流程
- 到达了用户授权环节,当然是需要用户认证之后了
- 用户访问资源,系统判断该用户是否有权限去操作该资源
- 如果该用户有权限才能够访问,如果没有权限就不能访问了
这里写图片描述
授权的过程可以简单理解为:主体认证之后,系统进行访问控制
subject必须具备资源的访问权限才可访问该资源..
权限/许可(permission) :针对资源的权限或许可,subject具有permission访问资源,如何访问/操作需要定义permission,权限比如:用户添加、用户修改、商品删除
资源可以分为两种
- 资源类型:系统的用户信息就是资源类型,相当于java类。
- 资源实例:系统中id为001的用户就是资源实例,相当于new的java对象。
1.2权限管理模型
一般地,我们可以抽取出这么几个模型:
- 主体(账号、密码)
- 资源(资源名称、访问地址)
- 权限(权限名称、资源id)
- 角色(角色名称)
- 角色和权限关系(角色id、权限id)
- 主体和角色关系(主体id、角色id)
这里写图片描述
通常企业开发中将资源和权限表合并为一张权限表,如下:
- 资源(资源名称、访问地址)
- 权限(权限名称、资源id)
合并为:
- 权限(权限名称、资源名称、资源访问地址)
这里写图片描述
1.3分配权限
用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。
通常给用户分配资源权限需要将权限信息持久化,比如存储在关系数据库中。把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)
1.3.1基于角色访问控制
RBAC(role based access control),基于角色的访问控制。
//如果该user是部门经理则可以访问if中的代码 if(user.hasRole('部门经理')){ //系统资源内容 //用户报表查看 }
角色针对人划分的,人作为用户在系统中属于活动内容,如果该 角色可以访问的资源出现变更,需要修改你的代码了,
if(user.hasRole('部门经理') || user.hasRole('总经理') ){ //系统资源内容 //用户报表查看 }
基于角色的访问控制是不利于系统维护(可扩展性不强)。
1.3.2基于资源的访问控制
RBAC(Resource based access control),基于资源的访问控制。
资源在系统中是不变的,比如资源有:类中的方法,页面中的按钮。
对资源的访问需要具有permission权限,代码可以写为: if(user.hasPermission ('用户报表查看(权限标识符)')){ //系统资源内容 //用户报表查看 }
建议使用基于资源的访问控制实现权限管理。
二、 粗粒度和细粒度权限
细粒度权限管理:对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政部的员工。细粒度权限管理就是数据级别的权限管理。
粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括 页面中所有按钮。
粗粒度和细粒度例子:
系统有一个用户列表查询页面,对用户列表查询分权限, 如果粗颗粒管理,张三和李四都有用户列表查询的权限,张三和李四都可以访问用户列表查询。 进一步进行细颗粒管理,张三(行政部)和李四(开发部)只可以查询自己本部门的用户信息。 张三只能查看行政部 的用户信息,李四只能查看开发部门的用户信息。 细粒度权限管理就是数据级别的权限管理。
2.1如何实现粗粒度权限管理?
粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如:通过springmvc的拦截器实现授权。
对细粒度权限管理在数据级别是没有共性可言,针对细粒度权限管理就是系统业务逻辑的一部分,在业务层去处理相对比较简单
比如:部门经理只查询本部门员工信息,在service接口提供一个部门id的参数,controller中根据当前用户的信息得到该 用户属于哪个部门,调用service时将部门id传入service,实现该用户只查询本部门的员工。
2.1.1基于URL拦截
基于url拦截的方式实现在实际开发中比较常用的一种方式。
对于web系统,通过filter过虑器实现url拦截,也可以springmvc的拦截器实现基于url的拦截。
2.2.2使用权限管理框架实现
对于粗粒度权限管理,建议使用优秀权限管理框架来实现,节省开发成功,提高开发效率。
shiro就是一个优秀权限管理框架。
